無料スキャン
分析待ちCVE-2026-25589

CVE-2026-25589: RCE in RedisBloom Redis Server

プラットフォーム

redis

コンポーネント

redis-server

修正版

2.8.20

NVDで見る
保存

RedisBloomは、Redisのための確率的データ構造モジュールです。バージョン2.8.20以前のRedisBloomには、RESTOREコマンドで処理されるシリアライズされた値の検証が不十分な脆弱性が存在します。この脆弱性を悪用されると、認証された攻撃者はリモートコード実行 (RCE) を引き起こす可能性があります。影響を受けるバージョンはRedisBloom 2.8.20以前です。バージョン2.8.20へのアップデートでこの問題は修正されています。

影響と攻撃シナリオ

この脆弱性は、認証された攻撃者がRedisBloomモジュールがロードされているサーバーに対して、RESTOREコマンドを介して細工されたシリアライズされたペイロードを送信することで、リモートコード実行 (RCE) を引き起こす可能性があります。攻撃者は、このRCEを悪用して、Redisサーバー上で任意のコードを実行し、機密情報を盗み出したり、システムを完全に制御したりする可能性があります。この脆弱性は、RedisBloomモジュールが使用されている環境において、重大なセキュリティリスクをもたらします。攻撃者は、Redisサーバーのアクセス制御をバイパスし、機密データへの不正アクセスや、システムへの不正な変更を行う可能性があります。類似の脆弱性は、シリアライズデータの不適切な処理によって引き起こされることがあり、注意が必要です。

悪用の状況

この脆弱性は、2026年5月5日に公開されました。現時点では、KEV (Known Exploited Vulnerabilities) に登録されていません。EPSS (Exploit Prediction Scoring System) のスコアは、公開情報が限られているため、評価待ちです。公開されているPoC (Proof of Concept) は確認されていませんが、RCEの可能性を考慮すると、将来的に悪用されるリスクがあります。NVD (National Vulnerity Database) およびCISA (Cybersecurity and Infrastructure Security Agency) の情報も確認し、最新の状況を把握することが重要です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.27% (50% パーセンタイル)

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8.8HIGHAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントredis-server
ベンダーRedisBloom
最大バージョン2.8.20
修正版2.8.20

弱点分類 (CWE)

CWE-122

タイムライン

  1. 公開日
  2. 更新日
  3. EPSS 更新日

緩和策と回避策

この脆弱性への主な対策は、RedisBloomをバージョン2.8.20以降にアップデートすることです。アップデートが困難な場合は、ACLルールを使用してRESTOREコマンドへのアクセスを制限することが推奨されます。これにより、認証されたユーザーのみがRESTOREコマンドを使用できるようになり、攻撃のリスクを軽減できます。また、Redisサーバーのファイアウォール設定を見直し、不要なポートを閉じ、外部からの不正アクセスを遮断することも重要です。アップデート後、RedisBloomモジュールのバージョンを確認し、脆弱性が修正されていることを確認してください。

修正方法翻訳中…

Actualice el módulo RedisBloom a la versión 2.8.20 o superior para mitigar la vulnerabilidad. Restrinja el acceso al comando RESTORE utilizando reglas de ACL para evitar que atacantes no autorizados exploten esta falla.

よくある質問

CVE-2026-25589 — RCE in RedisBloom Redis Serverとは何ですか?

RedisBloom 2.8.20以前のバージョンにおいて、RESTOREコマンドのシリアライズされた値の検証不備により、認証された攻撃者がリモートコード実行 (RCE) を引き起こす可能性があります。CVSSスコアは8.8 (HIGH) です。

CVE-2026-25589 in RedisBloom Redis Serverの影響を受けていますか?

RedisBloomのバージョンが2.8.20以前の場合は、影響を受けています。RedisBloomを使用している環境では、バージョンを確認し、必要に応じてアップデートしてください。

CVE-2026-25589 in RedisBloom Redis Serverを修正するにはどうすればよいですか?

RedisBloomをバージョン2.8.20以降にアップデートしてください。アップデートが困難な場合は、ACLルールを使用してRESTOREコマンドへのアクセスを制限してください。

CVE-2026-25589は積極的に悪用されていますか?

現時点では、公開されているPoCは確認されていませんが、RCEの可能性を考慮すると、将来的に悪用されるリスクがあります。最新の情報を常に確認してください。

CVE-2026-25589に関するRedisBloomの公式アドバイザリはどこで入手できますか?

RedisBloomの公式アドバイザリは、RedisBloomのドキュメントまたはRedisの公式ウェブサイトで確認できます。詳細については、関連するセキュリティ情報を参照してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...